EK:n lausunto EU:n datasäädöksen toimeenpanoa koskevaan arviomuistioon

Liikenne- ja viestintäministeriö | 3.5.2024 | VN/25158/2023

1. Millaisia vaikutuksia arvioitte datasäädöksen aiheuttavan organisaatiossanne, toimialallanne tai laajemmin Suomessa?

Datasäädöksen tarkoituksena on varmistaa, että verkkoon liitetyn tuotteen (IoT-tuote) tai tuotteeseen liittyvän palvelun käyttäjät pääsevät oikea-aikaisesti käsiksi kyseisen tuotteen tai siihen liittyvän palvelun käytön tuloksena tuotettuun dataan ja että he myös voisivat jakaa tätä dataa valitsemiensa kolmansien osapuolten kanssa tai käyttää sitä muihin, laillisiin tarkoituksiin. Ei kuitenkaan kilpailevan tuotteen kehittämiseen.

Lainsäätäjän tavoitteena on ollut lisätä oikeudenmukaisuutta datan käyttöön ja jakamiseen, koska datan tuottaminen on aina vähintään kahden toimijan, kuten verkkoon liitetyn tuotteen valmistajan ja tämän tuotteen käyttäjän toimista syntyvän yhteistoiminnan tulosta.

Kysymys on laajemmin datatalouden ja digitaalitalouden oikeudenmukaisuudesta, koska verkkoon liitettyjen tuotteiden tai niihin liittyvien palvelujen tallentama data on tärkeä tekijä jälkimarkkinapalveluissa sekä oheis- ja muissa palveluissa, ja tämän datan merkitys globaaleilla markkinoilla kasvaa jatkuvasti. Jotta datasta saataisiin myös EU:ssa merkittäviä taloudellisia hyötyjä, olisi parempi luoda kaikille sama säännöstö dataan pääsyyn ja datan käyttöön.

Asetuksen tavoitteena on myös varmistaa, että datan haltijat asettavat julkisen sektorin saataville datan, joka on tarpeen tietyn yleistä etua koskevan tehtävän suorittamiseksi, silloin kun siihen on poikkeuksellinen tarve.

Asetuksella pyritään lisäksi helpottamaan datankäsittelypalvelujen vaihtamista ja parantamaan datan ja datan jakamismekanismien ja -palvelujen yhteentoimivuutta unionissa.

Datasäädös muuttaa merkittävästi teollisuuden toimijoiden käytäntöjä ja sen vaikutus tulee olemaan arviomme mukaan merkittävästi esimerkiksi EU:n yleistä tietosuoja-asetusta laajempi. Asetusta sovellettaessa tuleekin ottaa oppia tietosuoja-asetuksen toimeenpanossa tehdyistä virheistä, ja kehittää sen sijaan teollisuuden datanjakokäytäntöjä ensisijaisesti markkinat edellä.

Datasäädös muuttaa myös suomalaisten yritysten toimintatapoja merkittävästi. Yritykset tulevat kartoittamaan, mitä verkkoon kytkettyjä tuotteita niillä on, mitä dataa ko. tuotteet generoivat, onko tämä data liikesalaisuuden piiriin kuuluvaa tai yritykselle muuten arvokasta, mitä dataa mahdollinen liitännäispalvelu generoi käytöstään ja mikä käyttödata on teknisesti noudettavissa ja mikä data ei. Lisäksi pohditaan, mikä käyttödata on jo käyttäjän ja tämän kumppanien saatavilla suoraan tuotteesta tai liitännäispalvelusta.

Datasäädös voi vaikuttaa yritysten tuotearkkitehtuuriin siten, että tulevaisuudessa mietitään tarkemmin, missä vaiheessa tuotteen on tarpeen generoida dataa. Lisäksi yritykset tulevat pohtimaan, haluavatko ne tietyissä tilanteissa toimia enää IoT-tuotteen valmistajana tai siihen liittyvän datan haltijana, ja jos eivät, kenelle ne luovuttaisivat datan haltijuuden.

Datasäädöstä kirjoittaessa ei selvästikään ole otettu huomioon tiettyjä teollisuudenaloja, joiden tuotteissa, kuten paperikoneessa tai merenkulun laitteissa, voi olla yli tuhat datapistettä.

Datasäädöksen toimeenpanossa on otettava huomioon kiristyvä geopoliittinen tilanne ja eri talousalueiden toimijoiden välinen kilpailu tietotaidosta. Datasäädökseen ei tule tästä syystä omaksua laajentavia tulkintoja, jotka voivat edesauttaa strategisen tietotaidon siirtymistä kilpaileviin talouksiin ilman vastavuoroisuutta.

EU:n yleisen tietosuoja-asetuksen ja datasäädöksen rinnakkainen soveltaminen tulee lisäämään hallinnollista taakkaa yrityksissä. Jos käyttäjä pyytää datan haltijaa jakamaan käyttödataa esimerkiksi kolmannessa maassa toimivalle osapuolelle, niin kenen vastuulla on luoda tilanteeseen sopiva siirtomekanismi ja arvioida riskit. Tuleeko datan haltijan ylipäänsä luovuttaa dataa suoraan ETA-alueen ulkopuoliselle kolmannelle osapuolelle, ja koskeeko luovutusta FRAND-ehdot.

EK:n tulkinta on, ettei datan haltijan tulisi edellä mainituista syistä johtuen jakaa dataa suoraan kolmansiin maihin, ainakaan FRAND-ehdoin. Asiasta tulisi saada komissiolta ja jäsenvaltioiden toimeenpanoviranomaisilta ohjeistusta, jottei tilanteet jäisi yksin datanhaltijayritysten ratkaistaviksi.

Säädös tullee oikein toimeenpantuna lisäämään kilpailua ja parantamaan kolmansien osapuolten mahdollisuuksia kilpailla datan haltija tai valmistajien kanssa huolto- ja liitännäispalveluissa pitkällä aikavälillä ja ainakin joillain sektoreilla.

2. Pidättekö arviomuistiossa esitettyjä linjauksia tarkoituksenmukaisina? 

Datasäädöksen 37 artiklan 5 kohdan mukaan jäsenvaltioiden on varmistettava, että datasäädöksen velvoitteiden noudattamista valvovan toimivaltaisten kansallisen viranomaisten tehtävät ja valtuudet määritellään selkeästi.

Nimetyn viranomaisen tai viranomaisten tulee edistää kansalaisten datalukutaitoa, käsitellä valituksia epäillystä asetuksen rikkomisesta, myös liikesalaisuuksiin liittyviltä osin, tutkia valitusten kohteita, ilmoittaa valituksen tekijöille tutkinnan etenemisestä sekä tutkinnan tuloksista, määrätä tehokkaita mutta oikeasuhteisia taloudellisia seuraamuksia, seurata datan saataville asettamista, käyttöä ja alan kaupallista kehitystä, tehdä yhteistyötä muiden jäsenvaltioiden toimivaltaisten viranomaisten ja Euroopan datainnovaatiolautakunnan kanssa, varmistaa, että pilvipalvelujen vaihtomaksut poistetaan siirtymäajan puitteissa, sekä tutkia julkisia datapyyntöjä.

Jos jäsenvaltio nimeää useamman valvontaviranomaisen, yhden niistä tulee toimia niin kutsuttuna datakoordinaattorina, jonka tehtävänä on helpottaa viranomaisten välistä yhteistyötä ja toimia keskitettynä yhteyspisteenä kaikissa asetuksen täytäntöönpanoon liittyvissä kysymyksissä.

Asetuksessa todetaan lisäksi, että datankäsittelypalvelujen vaihtamista koskevan asetuksen VI luvun valvontaviranomaisella tulee olla kokemusta data-alalta ja sähköisten viestintäpalvelujen alalta.

Arviomuistiossa todetaan, että monet datasäädöksessä asetetut viranomaistehtävät ovat uusia, eikä niitä suoraan vastaavia tehtäviä ole millään viranomaisella Suomessa. Arviomuistiossa esitetään datasäädöksen lukujen II, III, IV osalta toimivaltaiseksi viranomaiseksi Traficomia niiltä osin kuin toimivalta ei kuulu Tietosuojavaltuutetulle.

Asetuksen luku V koskee datan asettamista saataville julkisen sektorin toimielinten pyynnöstä poikkeustilan perusteella. Luvun V koordinoivaksi valvontaviranomaiseksi esitetään myös Traficomia.

Lukujen VI ja VIII toimivaltaiseksi viranomaiseksi Suomessa esitetään Traficomia. Luvussa VI säännellään datankäsittelypalveluiden vaihtamista, ja luvussa VIII on säännökset eurooppalaisten data-avaruuksien yhteentoimivuudesta.

Asetuksen luku VII sääntelee kolmannen maan viranomaisten laitonta pääsyä muuhun dataan kuin henkilötietoihin sekä datan kansainvälisiä siirtoja. Myös luvun VII osalta valvovaksi viranomaiseksi esitettäisiin Traficomia. Kansalliseen turvallisuuden tai puolustuksen etuihin liittyviä tiedonsiirtoja koskevissa lausunnoissa toimivaltaisiksi tahoiksi esitetään sisäministeriötä ja puolustusvoimien pääesikuntaa.

Arviomuistiossa esitetään lisämäärärahojen tarvetta datasäädöksestä johtuviin uusiin viranomaistehtäviin siten, että arvio HTV-tarpeeksi uusista tehtävistä olisi n. 15 henkeä, johtuen Traficomin ja tietosuojavaltuutetun (TSV:n) keskeisestä roolista säädöksen valvonnassa. Erikseen ei ole arvioitu työmäärän kasvua niissä virastoissa, joilla olisi toimeenpanossa avustava tai toissijainen rooli.

EK pitää arviomuistiossa tehtyä punnintaa eri viranomaisten tehtävien ja vastuiden välillä perusteellisena ja kattavana, eikä EK:lla ole huomautettavaa arvioinnissa tehtyihin johtopäätöksiin.

Myöskään EK ei kannata sitä, että perustettaisiin kokonaan uusi riidanratkaisuelin käsittelemään datasäädökseen liittyviä riita-asioita. Sen sijaan erityistä huomiota tulisi kiinnittää siihen, että valvontaviranomaisten lisäksi myös tuomioistuimilla riittäisi resursseja jatkuvasti kasvavan digitaalitalouteen, datatalouteen, tekoälyn käyttöön ja kyberturvaan liittyvien tulkinta- ja soveltamiskysymysten ratkaisuun.

Valvontatehtävien pääasiallinen keskittäminen Traficomiin luonee synergiaetuja ja mahdollistanee datatalouteen ja datan jakamiseen liittyvän erikoisosaamisen keskittämisen yhteen organisaatioon, mikä on pitkällä aikavälillä myös kustannustehokasta.

Datasäädöksen 37 artiklassa todetaan, että jäsenvaltioiden on varmistettava, että toimivaltaisille viranomaisille osoitetaan riittävät henkilöstö- ja tekniset resurssit ja asiaankuuluva asiantuntemus, jotta ne voivat hoitaa tehokkaasti tämän asetuksen mukaiset tehtävänsä.

EK korostaa sitä, että toimeenpanoon varatuista resursseista on kohdennettava riittävä määrä yritysten neuvontaan datasäädöksen soveltamisessa.

Lisäksi on tärkeää, että suomalaisella valvontaviranomaisella olisi resursseja osallistua EU-tason sekä jäsenvaltioiden väliseen yhteistyöhön, jotta asetuksen soveltamisen tulkintakäytänteet sekä datan haltijoille ja käyttäjille suunnattu ohjeistus ja neuvonta muodostuisivat mahdollisimman yhdenmukaisiksi eri jäsenvaltioissa, ja Level Playing- field toteutuisi myös suomalaisyrityksille.

3. Mitä seikkoja viranomaisten yhteistyön järjestämisessä tulisi erityisesti ottaa huomioon?

EK korostaa viranomaisten neuvontavelvollisuuden, asiaosaamisen, proaktiivisen ohjausasenteen ja viranomaisten välisen yhteistyön sujuvuuden tärkeyttä elinkeinoelämälle. EK pitää hyvänä, että Traficomista tulisi asetuksen tarkoittama datakoordinaattori, joka toimisi yhteyspisteviranomaisena myös yritysten suuntaan.

Erityisen tärkeää on huolehtia Traficomin ja Tietosuojavaltuutetun toimiston yhteistyöstä datasäädöksen tulkinnassa, ja molemmille virastoille tulee osoittaa riittävät resurssit yhtenäisten tulkintojen muodostamiseen tietosuoja-asetukseen ja datasäädökseen.

4. Mitä kansallisten (viranomais-)menettelyiden osalta tulisi ottaa huomioon viranomaisten ja toimijoiden välisessä yhteistyössä? Onko sektoreittain jotain sellaista, mitä pitäisi erityisesti ottaa huomioon kun kyseessä on viranomaisyhteistyö?

Ks. vastaukset edellä.

5. Mitä seuraamusten osalta erityisiä huomioita? Erityisesti sanktioitavien tekojen suhteen? Entä miten mahdollinen viranomaisen ”puuttumiskynnys” näissä tulisi mielestänne määritellä?

Datasäädöksessä on vakiomuotoinen yleisluonteinen seuraamusartikla, jossa seuraamusten määrittäminen jätetään jäsenvaltioille. Datasäädöksessä kuitenkin todetaan, että seuraamusten on oltava tehokkaita, oikeasuhteisia ja varoittavia.

Toimivaltaisten viranomaisten olisi asetuksen perusteluiden mukaan varmistettava, että asetuksessa säädettyjen velvoitteiden rikkomisesta määrätään seuraamuksia. Tällaisia seuraamuksia voisivat olla muun muassa taloudelliset seuraamukset, varoitukset, huomautukset tai määräykset liiketoimintakäytäntöjen saattamiseksi asetuksen velvoitteiden mukaisiksi.

Toimivaltaisten viranomaisten olisi tarvittaessa myös sovellettava väliaikaisia toimenpiteitä väitetyn rikkomisen vaikutusten rajoittamiseksi, kun kyseisen rikkomisen tutkinta on käynnissä. Tällöin niiden olisi otettava huomioon velvoitteen rikkomisen luonne, vakavuus, toistuvuus ja kesto sekä kyseessä oleva yleinen etu, toteutettujen toimien laajuus ja luonne ja rikkomiseen syyllistyneen taloudellinen kapasiteetti. Jäsenvaltioiden tulisi seuraamuksia koskevissa säännöksissään ottaa huomioon Euroopan datainnovaatiolautakunnan suositukset. ko. suosituksia ei kuitenkaan vielä ole saatavilla.

Arviomuistiossa todetaan, että seuraamusten osalta työryhmän työ on vielä kesken, mutta asiaa on lähestytty porrastetun keinovalikoiman avulla. Tämä tarkoittaisi sitä, että seuraamus suhteutettaisiin säädöksen rikkomuksen vakavuuteen ja muihin asetuksessa lueteltuihin tekijöihin, joita viranomaisen tulisi arvioinnissaan huomioida.

Portaittaisessa lähestymistavassa toimijalle annetaan ensin mahdollisuus korjata toimintaansa, jonka toteuttamista viranomainen voisi ohjeistaa. Seuraavaksi edettäisiin huomautukseen ja vasta tämän jälkeen, jos toimija ei saamistaan ohjeista huolimatta korjaisi toimintaansa kohtuullisessa määräajassa, viranomaisen olisi mahdollista asettaa seuraamusmaksu. Viranomaisten resursseja olisi – ainakin alkuvaiheessa – tarkoituksenmukaista myös keskittää sellaisiin tapauksiin, jotka ovat tahallisia ja erityisen vahingollisia.

Seuraamussääntely tulee olemaan asetuksen kansallista toimeenpanoa koskevan hallituksen esityksen kohteena.

Arviomuistiossa todetaan taustoittavasti, että seuraamuslaji voi Suomessa olla joko hallinnollinen tai rikosoikeudellinen. Arviomuistion mukaan seuraamusten tulisi olla oikea-suhtaisia rikkomukseen nähden niin, että seuraamuksen laatu ja määrä on sitä raskaampi, mitä raskaammasta ja pitkäkestoisemmasta rikkomuksesta on kyse. Valmistelussa on myös pohdittu asiakohtaisten seuraamuskollegioiden hyödyntämistä sekä eräänlaisen ”puuttumiskynnyksen” käyttöönottoa. Tällä tarkoitetaan jonkinlaista minimitasoa, jolla valvontaa ylipäätään suoritettaisiin. Esimerkiksi datan saataville asettamista valvottaisiin vain viranomaiselle tulleiden ilmoitusten perusteella. Lisäksi joissakin laiteryhmissä dataa voitaisiin valvoa osana muuta markkinavalvontaa.

EK pitää portaittaista lähestymistapaa ja puuttumiskynnystä hyvänä, jotta viranomaisten resurssit voidaan kohdentaa vaikutukseltaan merkittävimpien valitusten tutkintaan. EK toteaa, että puutumiskynnykseen on vaikea ottaa tarkemmin kantaa, koska tiedossa ei ole, mihin asetuksen artikloihin se kohdistuisi ja mitä sillä lopulta tarkoitettaisiin.

EK korostaa, että seuraamusten tulee olla rikosoikeudellisten seuraamusten sijaan hallinnollisia. Seuraamusmaksuun päädyttäessä tulisi sen enimmäismäärälle asettaa euromääräinen katto eikä liikevaihtoon sidottua vaihteluväliä. Jos liikevaihto kuitenkin otetaan huomioon seuraamusmaksun suuruutta arvioitaessa, mallia voisi ottaa esimerkiksi EU:n yleisen tuoteturvallisuusasetuksen (EU) 2023/988 kansallista täytäntöönpanoa koskevasta esityksestä, jossa esitetään enimmillään prosentin suuruista seuraamusmaksua liikevaihdosta, joka olisi kuitenkin enintään 100.000 euroa.

Datasäädös on suurelle osalle teollisuutta kokonaan uuden tyyppistä sääntelyä, eikä siihen liittyvää markkinakäytäntöä ole vielä muodostunut kovinkaan monelle alalle. Siksi seuraamusten määrittämisessä on perusteltua olla –ainakin ensimmäiset vuodet– hyvin konservatiivinen ja pitää puuttumiskynnys korkealla.

6. Muita mahdollisia huomioita arviomuistioon tai asiaan liittyvään jatkovalmisteluun

Datasäädöksen luku V koskee viranomaisten ja muiden julkisen sektorin toimijoiden oikeutta saada pyynnöstä pääsy yksityisen datan haltijan dataan. Sääntely on tarkoitettu yleisiin hätätilanteisiin ja muihin poikkeuksellisiin tilanteisiin.

Julkisen sektorin toimijan on suoritettava kohtuullinen korvaus datan haltijalle. Korvauksen on katettava vähintään pyynnön täyttämisestä aiheutuneet tekniset ja organisatoriset kustannukset mukaan lukien anonymisoinnin, pseudonymisoinnin, yhdistämisen ja teknisen mukautuksen kustannukset, sekä kohtuullinen marginaali. Sen sijaan yleisen hätätilan perusteella saadusta datasta ei olisi suoritettava korvausta datan haltijalle, ellei haltija ole mikroyritys tai pieni yritys.

EK kiinnittää huomiota, että korvauksen tulisi olla datan haltijalle kohtuullinen, sen saamisen edellytysten ja siihen liittyvän prosessin tulisi olla yrityksille mahdollisimman selkeä, eikä se saisi lisätä hallinnollista taakkaa. Tämän edistämiseksi lakiin voisi esimerkiksi kirjata vakiokorvauksen, jonka saisi datan haltija saisi kaikissa tilanteissa, jollei tämä osoita todellisten kustannusten olevan vakiokorvausta suurempia.

EK korostaa lopuksi dataan sisältyvien aineettomien oikeuksien kuten liikesalaisuuksien suojan ja tekijänoikeuksien kunnioittamista datasäädöksen toimeenpanossa. Aineettomat hyödykkeet kuten keksinnöt, liikesalaisuudet ja tietotaito, ovat EU:n talouden ja kilpailukyvyn kulmakiviä. Jotta eurooppalainen innovointi voi kukoistaa, teollis- ja tekijänoikeuksille on luotava ennustettava oikeudellinen kehys.